Hallo liebes TB,

Ich habe mir genauso wie andere Vorposter hier den TR/Kazy.mekml.1 eingefangen.
Alle Dateien werden immer wieder als versteckt angezeigt (auch die Ordneroptionen setzen sich immer wieder so zurück, dass ich die Dateien nicht sehen kann).
Des weiteren kommt immer wieder die Meldung, dass die installierten IDE/SATA-Festplatten beschädigt seien, ich solle das System neu starten.
Außerdem kam die Meldung, dass das Speichern des System32/496A8300 nicht möglich ist.

Neben dem TR/Kazy.mekml.1 wurden außerdem die Trojaner:
TR/ATRAPS.Gen2
TR/Dldr.Peltpox.A
TR/Alureon.CD.17
angezeigt.

Dazu kam gerade noch eine Meldung, dass Avira den "TR/Patched.Gen" in der Datei "C:\WINDOWS\system32\drivers\vplsnap.sys" gefunden hat.
Außerdem wurde eben noch der "TR/Crypt.XPACK.Gen" in 'C:\WINDOWS\Temp\cptq\setup.exe' gefunden.

Dazu lässt sich der Taksmanager nicht mehr aufrufen, da dies vom Administrator verweigert wird.


Habe nun einen Systemscan mit OTL so wie hier beschrieben ausgeführt:
http://www.trojaner-board.de/97918-t...mekml-1-a.html


Die OTL Datei war zu groß zum Hochladen und ich habe sie deshalb in 2 Teile:
OTL1 und OTL2 getrennt.

Hab jetzt auch mal Malwarebytes drüber laufen lassen und folgendes kam raus:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 5409
 
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11
 
26.04.2011 18:31:35
mbam-log-2011-04-26 (18-31-35).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 309363
Laufzeit: 1 Stunde(n), 19 Minute(n), 28 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho.1 (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\linkrdr.AIEbho (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 
Infizierte Verzeichnisse:
c:\WINDOWS\system32\xmldm (Stolen.Data) -> Quarantined and deleted successfully.
 
Infizierte Dateien:
c:\WINDOWS\system32\acroiehelpe.dll (Trojan.Banker) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\christopher\lokale einstellungen\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
         

machst du onlinebanking /einkäufe oder sonst was wichtiges mit diesem system?

Nicht haeufig.
Das letzte mal online banking ist ueber 3 wochen her.

Nachdem mein PC vorhin wieder von selbst neu gestartet hat, funktioniert er jetzt garnichtmehr richtig.
Es oeffnen sich zwar einige Messenger und das vom virus erstellte "windows recovery program", aber der desktop und die windowsleiste erscheinen garnichtmehr.
Der taskmanager laesst sich aber wieder oeffnen.

starte mal im abgesicherten modus
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
wir werden aber neu machen müssen, wir machen ihn so weit flott das du daten sichern kannst

Der abgesicherte modus laesst sich zwar starten, aber ich kann combofix nicht herunterladen, da ich keine internetverbindung bekomme.
soll ich das programm ueber cd installieren oder wie war das gemeint?

oder mit nem stick kopieren.

Also brauch ich mir keine sorgen machen, dass sich der virus ueber den stick verbreitet?
und muss ich mir sorgen machen, dass mir bankdaten etc. geklaut worden sind?

hab combofix auf dem pc, aber wenn ich es im abgesichertem modus starten will kommt die meldung:
32788R22FWJFW\iexplore.exe
auf das geraet, bzw. den pfad oder die datei kann nicht zugegriffen werden
evtl. verfuegen sie nicht ueber ausreichendeberechtigung, um auf das element zuzugreifen

wenn ichs mit ok bestaetige oder die meldung schliesse wiederholt sie sich, bis irgendwann eine meldung von windows kommt, die sagt:
die datei nircmd.cfxxe kann nicht geoeffnet werden

kannst du im abgesicherten modus arbeiten?

ja, ich kann halt nur nicht ins internet

das ist ja nicht so wild, sichere deine daten und dann machen wir uns ans neu aufsetzen.

hab meine wichtigen daten jetzt im abgesichertem modus auf nem stick gesichert

kann also weitergehen

nutzt du eine recovery partition, recovery cd oder windows cd?
weist du wie das mit dem formatieren abläuft oder soll ich das mit beschreiben

ich hab eine medion product recovery cd-rom
windows xp home edition sp2

ich hab meinen pc noch nie formatiert, also waere es gut, wenn du mir sagst, was ich machen muss

das ist kein problem. deswegen frag ich ja :-)
lege die cd ein starte den pc neu. entweder du kommst gleich auf die cd, mit drücken von beliebiger taste, oder du musst das bootmenü aufrufen, direkt bei pc start mit f9 f11 f12 oder anderer f-taste, dort mit den pfeiltasten das cd/dvd laufwerk wählen.
folge dann den anweisungen auf dem bildschirm.
zuerst formatieren, dann windows neu instalieren.
falls daten verschoben werden sollen nach windows.old ist das formatieren schief gelaufen.

falls du treiber cds hast, nutze diese danach, falls nicht sollte internet etc funktionieren.
http://www.trojaner-board.de/96344-a...-rechners.html
hier bitte den abschnitt xp aufsuchen, und diesen von punkt 1 bis zum schluss, der rehihe nach, durcharbeiten!!
anmerkungen:
als browser würde ich opera nutzen, dieser ist mit am schnellsten und sichersten.
avira konfigurations anleitung:
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.


anstelle des browser symbols klickst du in zukunft immer auf sandboxed web browser.
bei fragen, problemen, melde dich! dies ist ein gesammt konzept und sollte daher komplett umgesetzt werden, auch bei erfolg melden

da steht jetzt etwas von partitionen, auf denen ich xp installieren und die ich loeschen kann

partition loeschen = formatieren?
und muss ich dann nur laufwerk C loeschen?